Неприкасаемый .arpa превратили в хостинг: новый метод обхода антифишинговых фильтров
Исследователи Infoblox обнаружили новую технику обхода защитных систем — злоумышленники используют домен верхнего уровня .arpa, предназначенный исключительно для служебной инфраструктуры DNS, для хостинга фишинговых страниц. Метод позволяет обойти репутационные фильтры и блок-листы, так как этот домен по определению считается «чистым» и критически важным для работы интернета.
Атака строится на том, что .arpa используется для обратного DNS-резолвинга (преобразования IP-адресов в доменные имена). Для IPv6-адресов используется зона ip6.arpa. Злоумышленники получают контроль над блоком IPv6-адресов (например, через бесплатные туннели Hurricane Electric), после чего делегируется управление соответствующей .arpa-зоной.
Вместо положенных PTR-записей (которые указывают на домен по IP) они создают A-записи (которые указывают на IP по домену) для этих обратных DNS-имен. В результате строка вида d.d.e.0.6.3.0.0.0.7.4.0.1.0.0.2.ip6.arpa начинает резолвиться в IP-адрес и вести на фишинговый сайт.
Вредоносные ссылки маскируются в письмах с «бесплатными подарками» — пользователь видит только картинку, клик по которой ведет через цепочку редиректов на поддельную страницу. Для дополнительной обфускации перед основным .arpa-доменом подставляется случайно сгенерированный поддомен из 10 букв.
Исследователи подтвердили, что Cloudflare и Hurricane Electric позволяют создавать такие записи (оба поставщика уведомлены). Техника используется с 2017 года и входит в один набор инструментов с кражей «висящих» CNAME-записей (dangling CNAME) — еще одним методом обхода, при котором перехватываются поддомены известных организаций с истекшими DNS-записями.
Infoblox опубликовала индикаторы компрометации на GitHub. На данный момент в клиентском трафике таких запросов не зафиксировано, но они видны в глобальном пассивном DNS.
похожие материалы
«Газинформсервис» представил квартальное обновление Efros DefOps 2.14: диагностика RADIUS, интеграция с Check Point и совместимость с Ред ОС 8
Компания «Газинформсервис» выпустила релиз 2.
RIGF 2026: в России построен комплексный цифровой суверенитет
Современные операторы связи сталкиваются с беспрецедентными вызовами: взрывном рост трафика, усложнением архитектуры сетей, участившиеся кибератаки и постоянно растущие ожидания абонентов от качества и непрерывности сервиса.
22 из 30 популярных российских Android-приложений умеют выявлять VPN
RKS Global опубликовала исследование, в котором утверждает, что 22 из 30 популярных российских Android-приложений умеют определять наличие VPN на устройстве, а 19 из них еще и передают этот статус на сервер.
Сайт CPUID взломали и сутки раздавали STX RAT под видом CPU-Z и HWMonito
Сайт CPUID, через который распространяются CPU-Z, HWMonitor, HWMonitor Pro и PerfMonitor, был скомпрометирован.
Дуров заявил, что Telegram за 12 лет не раскрыл ни одного байта переписки пользователей
Павел Дуров заявил, что за всю 12-летнюю историю Telegram не раскрыл ни одного байта сообщений пользователей.
Мошенники начали делать россиян «админами» чужих каналов для шантажа
Мошенники начали использовать новую схему давления через Telegram-каналы.
Мошенники начали рассылать фальшивые письма о долгах по членским взносам
Т-Банк предупредил о новой схеме мошенничества с поддельными письмами об оплате членских взносов.
«Боцман» 3.2: больше контроля для ИБ и удобства для разработчиков
Компания «Платформа Боцман» (входит в «Группу Астра») выпустила новую версию корпоративного решения для управления контейнерными средами — «Боцман» 3.
Анатомия ландшафта киберугроз: ИТ-сектор вытеснил финансы из тройки самых атакуемых отраслей в 2025 году
По данным глобального отчёта «Анатомия ландшафта киберугроз» от экспертов центра сервисов по кибербезопасности «Лаборатории Касперского», государственные учреждения и промышленность остаются самыми привлекательными целями для злоумышленников — в 2025 году на них пришлось больше всего инцидентов высокой критичности.
В Коврове состоится конференция по вопросам безопасности объектов и территорий «БРОНЯ-2026»
Мероприятие объединит представителей силовых ведомств, разработчиков средств защиты и научное сообщество.